申美惠

摘要：多級(jí)安全策略的核心是將信息劃分為不同秘密級(jí)別，從而采取不同的保護(hù)措施，廣泛應(yīng)用于軍事和商業(yè)環(huán)境中。該文介紹了基于多級(jí)安全策略的三個(gè)信息安全模型——Bell-LaPadula模型、Biba模型和Clark-Wilson模型。著重闡述了這三個(gè)模型的特點(diǎn)，并根據(jù)它們各自的特點(diǎn)進(jìn)行了模型間的比較分析。

關(guān)鍵詞：信息安全模型；多級(jí)安全策；BLP模型；Clark-Wilson模型；Biba模型

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)20-4852-03

Analysis of Security Models Based on Multilevel Security Policy

SHEN Mei-hui

(Zhongnan University of Economics and Law, Wuhan 430073,China)

Abstract: The core of the multilevel security policy is to divide information into different security level. Information security model will adopt different protection measures according to the security levels. And the policy is widely used in military field and business environ? ment. This paper introduces three information security models based on multilevel security policy—Bell-LaPadula(BLP) model, Biba mod? el and Clark-Wilson model. It emphatically expounds the characteristics of the three models. And comparisons among them are given.

Key words: information security model; multilevel security policy; Bell-LaPadula model; Clark-Wilson model; Biba model

人類現(xiàn)在已經(jīng)進(jìn)入信息化社會(huì)，計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展為信息的獲取、處理與傳輸利用提供了非常先進(jìn)的技術(shù)，但也為好奇者與入侵者提供了方便之門，使得計(jì)算機(jī)與網(wǎng)絡(luò)中的信息變得越來越不安全了。目前，信息安全評(píng)估標(biāo)準(zhǔn)是評(píng)價(jià)信息系統(tǒng)安全性或安全能力的尺度，而安全評(píng)價(jià)是以安全模型為基礎(chǔ)的。因此信息安全模型的研究至關(guān)重要，也是當(dāng)前信息安全研究的前沿。該文主要針對(duì)多級(jí)信息安全模型進(jìn)行分析和比較。

信息安全模型[1]采用形式化或非形式化的方法來精確的描述信息系統(tǒng)的安全策略。信息安全模型建立在體系結(jié)構(gòu)之上，而信息安全體系結(jié)構(gòu)建立在各種信息安全技術(shù)和方法機(jī)制之上，是各種機(jī)制的子集元素的有機(jī)結(jié)合體。

多級(jí)安全策略最初用于支持軍用系統(tǒng)和數(shù)據(jù)庫的安全保密。它根據(jù)信息的重要性和敏感程度將信息劃分為不同的密級(jí)，通常密級(jí)由低到高分為開放級(jí)、秘密級(jí)、機(jī)密級(jí)和絕密級(jí)[2]。多級(jí)安全策略通過密級(jí)確保信息僅能讓被具有高于或等于該密級(jí)權(quán)限的人使用，多級(jí)安全信息結(jié)構(gòu)示意圖，如圖1。

目前基于多級(jí)安全策略的安全模型，較為著名的有Bell-LaPadula模型、Clark-Wilson模型以及Biba模型。

3.1模型特點(diǎn)

3.1.1 BLP模型特點(diǎn)

BLP保密性模型是第一個(gè)能夠提供分級(jí)數(shù)據(jù)機(jī)密性保障的安全策略模型。它同時(shí)也是第一個(gè)可以用數(shù)學(xué)方法證明的安全系統(tǒng)模型[9]。到目前為止，BLP模型仍是信息安全領(lǐng)域最為重要的模型之一，已經(jīng)成為了公認(rèn)的最著名的多級(jí)安全模型，是多級(jí)安全策略的代名詞。

但BLP模型也存在一些不足，包括只處理秘密性沒有考慮完整性、包含隱通道、沒有制定修改訪問控制權(quán)限的策略，可信主體權(quán)限過大等。隨著計(jì)算機(jī)安全理論和技術(shù)的發(fā)展，BLP模型已經(jīng)不能滿足人們的需要[10]。3.1.2 Biba模型特點(diǎn)

Biba模型的優(yōu)勢在于其簡單性以及與BLP模型相結(jié)合的可能性。它的實(shí)現(xiàn)是直觀的和易于理解的。且可以比較容易地與BLP模型相結(jié)合以產(chǎn)生集機(jī)密性和完整性于一體的一體化安全模型。Biba模型是一種常見的商業(yè)安全模型[11]。

Biba模型的不足之處主要有：只解決了完整性問題，沒有解決機(jī)密性或可用性問題；專注于保護(hù)客體不受外界的威脅，假定內(nèi)部的威脅已被有效控制；沒有說明訪問控制管理，也沒有提供分配或改變主體或客體分類級(jí)別的方法；并沒有防止隱蔽通道。上述的不足，使Biba模型難以滿足實(shí)際系統(tǒng)的真正需求。

3.1.3 Clark-Wilson模型特點(diǎn)

雖然Clark-Wilson模型略顯復(fù)雜，且不能提供有效的機(jī)密性保護(hù)。但Clark-Wilson模型被業(yè)界認(rèn)為是完整意義上的完整性目標(biāo)、策略和機(jī)制的起源,是唯一實(shí)現(xiàn)三個(gè)完整性保護(hù)目標(biāo)——防止未授權(quán)用戶修改數(shù)據(jù);保持?jǐn)?shù)據(jù)的內(nèi)在和外在一致性;防止授權(quán)用戶以非授權(quán)的方式修改數(shù)據(jù)——的完整性模型[12]。

Clark-Wilson是為商業(yè)環(huán)境專門設(shè)計(jì)的安全模型，通常被用在銀行系統(tǒng)中來保證數(shù)據(jù)的完整性，是為現(xiàn)代數(shù)據(jù)存儲(chǔ)技術(shù)量身定制的，是一種適于商業(yè)應(yīng)用的優(yōu)秀模型。3.2模型間的比較

BLP模型、Biba模型和Clark-Wilson模型都是基于多級(jí)安全策略的信息安全模型。在多級(jí)安全策略思想的基礎(chǔ)上，三者在設(shè)計(jì)和使用上都各有偏重。下面將從以下幾點(diǎn)對(duì)其差異性進(jìn)行比較。

1）成熟度

這三種模型中BLP模型是最為成熟的。BLP模型于1973年被提出，是最早、最常用、最著名的多級(jí)安全模型，影響了很多安全模型的發(fā)展。其次是Biba模型，于1977年被提出。Clark-Wilson模型是最為年輕的一個(gè)模型，于1987年被發(fā)表，1989年進(jìn)行了修正。

2）描述方式

由于BLP模型和Biba模型較為成熟，因而具有嚴(yán)格的形式化語言。而Clark-Wilson模型尚不具有形式化的描述語言。

3）保護(hù)目標(biāo)

BLP模型主要是針對(duì)解決訪問控制的保密性問題，從而保護(hù)信息的安全。而Biba模型和Clark-Wilson模型則是著重研究與保護(hù)信息和系統(tǒng)的完整性。

4）適用領(lǐng)域

BLP模型是一種模擬軍事安全策略的模型，主要應(yīng)用于軍事領(lǐng)域。Clark-Wilson模型則是為商業(yè)環(huán)境專門設(shè)計(jì)的安全模型，是為現(xiàn)代數(shù)據(jù)存儲(chǔ)技術(shù)量身定制的，適用于商業(yè)應(yīng)用。而Biba則是屬于一種通用模型，適用范圍較廣。

5）優(yōu)點(diǎn)

BLP模型具有嚴(yán)格明確的安全等級(jí)劃分，能夠有效地防止信息從一個(gè)高安全級(jí)流向低安全級(jí)。Biba模型的優(yōu)勢則在于其簡單性、直觀易于理解，同時(shí)能夠與BLP模型相結(jié)合。而Clark-Wilson模型是唯一實(shí)現(xiàn)了三個(gè)完整性保護(hù)目標(biāo)的安全模型。

6）不足

BLP模型只保護(hù)了信息的機(jī)密性而并沒有考慮完整性。與此相反的是，Biba模型和Clark-Wilson模型只關(guān)注了完整性問題，而沒有解決機(jī)密性問題。

對(duì)上述安全模型的分析比較匯總?cè)绫?所示。

表1模型特征分析比較

多級(jí)安全策略的核心是根據(jù)信息的重要性和敏感度，賦予信息不同的安全級(jí)別，從而采取不同的保護(hù)措施。多級(jí)安全策略有效地保護(hù)和控制了信息流的縱向傳播。但是對(duì)于信息流的橫向傳播沒有有效的管理機(jī)制。在實(shí)際應(yīng)用中，多級(jí)安全策略常常與多邊安全策略相結(jié)合，從而對(duì)信息提供更加完善的保護(hù)機(jī)制。

基于多級(jí)安全策略的Bell-LaPadula模型、Biba模型和Clark-Wilson模型被廣泛應(yīng)用于軍事領(lǐng)域和商業(yè)環(huán)境。但隨著信息技術(shù)和網(wǎng)絡(luò)的飛速發(fā)展，人們對(duì)于信息的安全需求也將會(huì)越來越高。單獨(dú)運(yùn)用其中某一個(gè)安全模型已經(jīng)無法滿足實(shí)際的需求了。多個(gè)模型組合使用已經(jīng)成為了一種必然的趨勢。